.
Getty Images
Organizações grandes e pequenas estão sendo vítimas da exploração em massa de uma vulnerabilidade crítica em um programa de transferência de arquivos amplamente utilizado. A exploração começou durante o feriado do Memorial Day – enquanto a vulnerabilidade crítica ainda era um dia zero – e continua agora, cerca de nove dias depois.
Na noite de segunda-feira, o serviço de folha de pagamento Zellis, a província canadense de Nova Escócia, a British Airways, a BBC e a varejista britânica Boots foram todos conhecidos por terem dados roubados por meio dos ataques, alimentados por uma vulnerabilidade recentemente corrigida no MOVEit, um provedor de transferência de arquivos que oferece serviços na nuvem e no local. Tanto a Nova Escócia quanto a Zellis tiveram suas próprias instâncias ou serviços de nuvem violados. A British Airways, a BBC e a Boots eram clientes da Zellis. Toda a atividade de hackers foi atribuída ao sindicato do crime Clop, que fala russo.
Difundido e bastante substancial
Apesar do número relativamente pequeno de violações confirmadas, os pesquisadores que monitoram os ataques em andamento descrevem a exploração como generalizada. Eles comparam os hacks a roubos de quebra e captura, nos quais uma janela é quebrada e os ladrões pegam tudo o que podem, e alertam que os assaltos rápidos estão atingindo bancos, agências governamentais e outros alvos em números alarmantemente altos.
“Temos alguns clientes que estavam executando o MOVEit Transfer aberto na Internet e todos eles foram comprometidos”, escreveu Steven Adair, presidente da empresa de segurança Volexity, em um e-mail. “Outras pessoas com quem conversamos viram algo semelhante.”
Adair continuou:
Não quero categorizar nossos clientes neste ponto, pois não sei o que está por aí em termos de quem está executando o software e os distribui. Com isso dito, porém, são organizações grandes e pequenas que foram atingidas. Todos os casos que analisamos envolveram algum nível de exfiltração de dados. Os invasores normalmente capturavam arquivos dos servidores MOVEit menos de duas horas após a exploração e o acesso ao shell. Acreditamos que isso provavelmente foi generalizado e um número bastante substancial de servidores MOVEit Transfer que executavam serviços da Web voltados para a Internet foram comprometidos.
Caitlin Condon, gerente sênior de pesquisa de segurança que lidera o braço de pesquisa da empresa de segurança Rapid7, disse que normalmente sua equipe reserva o termo “ameaça generalizada” para eventos envolvendo “muitos invasores, muitos alvos”. Os ataques em andamento não têm nenhum dos dois. Até agora, há apenas um invasor conhecido: Clop, um grupo de língua russa que está entre os agentes de ransomware mais prolíficos e ativos. E com o mecanismo de busca Shodan indexando apenas 2.510 instâncias do MOVEit voltadas para a Internet quando os ataques começaram, é justo dizer que não há “muitos alvos”, relativamente falando.
Nesse caso, no entanto, o Rapid7 está abrindo uma exceção.
“Não estamos vendo agentes de ameaças de commodities ou invasores de baixa habilidade lançando explorações aqui, mas a exploração de alvos de alto valor disponíveis globalmente em uma ampla variedade de tamanhos de organizações, setores verticais e localizações geográficas indica a escala para classificarmos isso como uma ameaça generalizada”, explicou ela em uma mensagem de texto.
Ela observou que segunda-feira foi apenas o terceiro dia útil desde que o incidente se tornou amplamente conhecido e muitas vítimas só agora podem estar sabendo que foram comprometidas. “Esperamos ver uma lista mais longa de vítimas com o passar do tempo, principalmente à medida que os requisitos regulatórios para relatórios entram em jogo”, escreveu ela.
O pesquisador independente Kevin Beaumont, enquanto isso, disse na mídia social no domingo à noite: “Eu tenho rastreado isso – há um número de dois dígitos de organizações que tiveram dados roubados, que inclui várias organizações bancárias e do governo dos EUA.”
A vulnerabilidade do MOVEit decorre de uma falha de segurança que permite a injeção de SQL, uma das classes de exploração mais antigas e comuns. Frequentemente abreviadas como SQLi, essas vulnerabilidades geralmente decorrem de uma falha de um aplicativo da Web em limpar adequadamente as consultas de pesquisa e outras entradas de caracteres do usuário que um aplicativo pode considerar um comando. Ao inserir strings especialmente criadas em campos de sites vulneráveis, os invasores podem induzir um aplicativo da Web a retornar dados confidenciais, conceder privilégios de sistema administrativo ou subverter a maneira como o aplicativo funciona.
Linha do tempo
De acordo com um post publicado pela empresa de segurança Mandiant na segunda-feira, os primeiros sinais da onda de exploração do Clop ocorreram em 27 de maio. Em alguns casos, o roubo de dados ocorreu minutos após a instalação de um webshell personalizado rastreado como LemurLoot, disseram os pesquisadores. Eles adicionaram:
A Mandiant está ciente de vários casos em que grandes volumes de arquivos foram roubados dos sistemas de transferência MOVEit das vítimas. O LEMURLOOT também pode roubar informações do Azure Storage Blob, incluindo credenciais, das configurações do aplicativo MOVEit Transfer, sugerindo que os agentes que exploram essa vulnerabilidade podem estar roubando arquivos do Azure nos casos em que as vítimas estão armazenando dados do dispositivo no armazenamento do Azure Blob, embora não esteja claro se o roubo está limitado aos dados armazenados desta forma.
O webshell é disfarçado com nomes de arquivo como “human2.aspx” e “human2.aspx.lnk” em uma tentativa de se disfarçar como human.aspx, um componente legítimo do serviço MOVEit Transfer. A Mandiant também disse que “observou várias solicitações POST feitas ao arquivo guestaccess.aspx legítimo antes da interação com o webshell LEMURLOOT, indicando que ataques SQLi foram direcionados a esse arquivo”.
Em 31 de maio, quatro dias após o início dos primeiros ataques, o provedor MOVEit Progress corrigiu a vulnerabilidade. Em um dia, surgiram postagens nas mídias sociais relatando que a vulnerabilidade estava sendo explorada por um agente de ameaça que estava instalando um arquivo chamado human2.aspx no diretório raiz dos servidores vulneráveis. As empresas de segurança logo confirmaram os relatórios.
A atribuição formal de que Clop está por trás dos ataques veio no domingo da Microsoft, que ligado os ataques a “Lace Tempest”, o nome que os pesquisadores da empresa usam para rastrear uma operação de ransomware que mantém o site de extorsão do grupo de ransomware Clop. A Mandiant, por sua vez, descobriu que as táticas, técnicas e procedimentos usados no ataque correspondiam aos de um grupo rastreado como FIN11, que já implantou o ransomware Clop no passado.
Clop é o mesmo agente de ameaça que explorou em massa o CVE-2023-0669, uma vulnerabilidade crítica em um serviço diferente de transferência de arquivos conhecido como GoAnywhere. Essa onda de hackers permitiu que Clop derrubasse a empresa de segurança de dados Rubrik, obtivesse informações de saúde de um milhão de pacientes de uma das maiores cadeias de hospitais e (de acordo com a Bleeping Computer) recebesse o crédito por hackear 130 organizações. A pesquisa da empresa de segurança Huntress também confirmou que o malware usado em invasões explorando o CVE-2023-0669 tinha ligações indiretas com o Clop.
Até o momento, não há relatos conhecidos de vítimas que receberam pedidos de resgate. O site de extorsão Clop também não mencionou até agora os ataques. “Se o objetivo desta operação for extorsão”, escreveram os pesquisadores da Mandiant, “prevemos que as organizações de vítimas podem receber e-mails de extorsão nos próximos dias ou semanas”.
.
